本申请公开了移动终端恶意软件的分析方法和装置。根据本申请的实施方案,移动终端恶意软件的分析方法可包括:解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;在移动终端中运行所述疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;以及根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。根据本申请的移动终端恶意软件的分析方法和装置,能够提高对移动终端恶意软件分析的速度和准确性。
【技术实现步骤摘要】
本申请涉及移动终端恶意软件的分析方法和装置。
技术介绍
随着移动终端互联网的迅速发展,智能移动终端的增多,移动终端上相应的恶意代码威胁也逐渐增多。移动终端的恶意软件会造成用户隐私泄露、信息丢失、设备损坏、话费损失等诸多问题,给客户利益带来极大危害,也给通信运营商带来不利影响。在目前主流的移动终端恶意软件中,很多的恶意软件都存在主动的网络连接行为。通过网络连接,恶意软件可与远程控制服务器进行连接,下载和传播新的恶意代码,也可以接受远程服务器的指令进而触发相应的恶意行为。另外,频繁的网络连接也造成了大量的无意义的网络流量,对网关设备造成了冲击。针对移动终端的恶意软件,可对采集的疑似样本进行恶意行为分析,提取特征码更新特征库。目前针对手机恶意软件的分析,主要可采用的手段有:对恶意软件进行静态分析,即,通过解析具体的逻辑,特殊字符串,导入导出函数表,签名证书等信息来进行分析;在PC机上对恶意软件进行养殖,通过进行网络抓包,分析其恶意行为。由于静态分析通常采用反汇编或反编译进行,因此计算量较大。而对于在PC机上养殖恶意软件的动态分析,由于PC机与例如手机等的移动终端的通信方式存在区别,导致通过传统的网络抓包进行分析也存在困难。因此,上述分析方法的效率和准确率较低。
技术实现思路
为了解决现有移动终端恶意软件的分析效率和准确率较低的问题,本申请提出了一种移动终端恶意软件的分析方法和装置。根据本申请的一个方面,提出了一种移动终端恶意软件的分析方法,可包括:解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;在移动终端中运行所述疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;以及根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。根据本申请的另一个方面,提出了一种移动终端恶意软件的分析方法,可包括:在移动终端中运行疑似软件样本,记录所述疑似软件样本执行的可疑行为;若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则在执行所述可疑行为之前,记录待发送数据的明文信息;以及根据所记录的可疑行为和明文信息,判断所述疑似软件样本是否为恶意软件。根据本申请的又一个方面,提出了一种移动终端恶意软件的分析装置,可包括:解析模块,解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;触发模块,在移动终端运行所述疑似软件样本期间,根据解析模块获取的触发条件,触发所述疑似软件样本执行可疑行为;以及判断模块,根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。根据本申请的再一个方面,提出了一种移动终端恶意软件的分析装置,可包括:记录模块,在移动终端运行疑似软件样本期间,记录所述疑似软件样本执行的可疑行为;加密处理模块,若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则所述加密处理模块记录待发送数据的明文信息;以及判断模块,根据所述记录模块记录的可疑行为和所述加密处理模块记录的明文信息,判断所述疑似软件样本是否为恶意软件。根据本申请的移动终端恶意软件的分析方法和装置,能够提高对移动终端恶意软件分析的速度和准确性。附图说明图1是根据本申请一个实施方案的移动终端恶意软件的分析方法的流程图;图2是根据本申请另一实施方案的移动终端恶意软件的分析方法的流程图;图3是根据本申请一个实施方案的移动终端恶意软件的分析装置的框图;图4是根据本申请另一个实施方案的移动终端恶意软件的分析装置的框图;图5是根据本申请又一实施方案的移动终端恶意软件的分析装置的框图;以及图6是根据本申请再一实施方案的移动终端恶意软件的分析装置的框图。具体实施例方式下面参照附图,对本申请的实施方案进行详细说明。在本申请中,移动终端可以是使用移动通信网络的手机终端、pad终端等。如图1所示,在根据本申请一个实施方案的移动终端恶意软件的分析方法中,可首先对疑似软件样本进行解析,以获取该疑似软件样本执行可疑行为的触发条件(步骤S1002)。可以理解,可通过反编译或反汇编的方式解析疑似软件样本,但是,该解析步骤并不是对疑似软件样本进行完全的逆向分析,而仅采用自动化分析,获取触发条件。在本申请的实施方案中,疑似软件样本执行可疑行为的触发条件指的是疑似软件样本在满足某些触发条件时(如连接到网络、位置变更、信号变化、接收到短信、开机启动等)便能够执行可能具有恶意目的的可疑行为(例如网络访问、位置信息获取、短信发送、短信拦截、进程终止、通讯录访问等)。可以理解,该解析步骤所针对的触发条件可预先设定,并可根据技术发展进行增加或修改。为了对疑似软件样本进行分析,可在移动终端中运行该疑似软件样本,换言之,将移动终端作为疑似软件样本养殖环境。在疑似软件样本运行期间,根据步骤S1002中获取的触发条件,触发疑似软件样本执行可疑行为(步骤S1004)。之后,根据所述疑似软件样本执行的可疑行为,判断该疑似软件样本是否为恶意软件。根据本申请的一个实施方案,步骤S1002中获取的触发条件可包括,运行疑似软件样本的移动终端的信号变化(例如,网络信号的增强或减弱等)、网络连接变化、接收短信和/或接收彩信。例如,可在移动终端的连接网络或断开网络、或者接收到特定内容短信时触发疑似软件样本执行某些可疑行为。根据一个具体实施例,在步骤S1002中,可通过解析疑似软件样本的配置文件,获取触发条件。由于获取了触发条件,因此在步骤S1004中,可根据所获取的触发条件,有针对性地满足触发条件,以触发疑似软件样本执行可疑行为。例如,可通过控制移动终端的信号变化、控制移动终端网络连接或断开,向移动终端发送短信或彩信等,来触发疑似软件样本执行对应的可疑行为。这样,可提高获取疑似软件样本执行可疑行为的效率,从而提高分析效率。在步骤S1006中,可根据疑似软件样本执行的可疑行为,判断该疑似软件样本是否为恶意软件。在一个实施例中,可设定步骤S1004执行的时间周期,例如,24-48小时,也有可能I周等,步骤S1006根据步骤S1004执行预定时间周期所获取的可疑行为进行是否为恶意软件的判断。根据一个实施例,可预设可疑行为的数据库,在步骤S1006中,将获取的可疑行为与该数据库的内容进行比对,从而判断执行这些可疑行为的疑似软件样本是否为恶意软件。根据本申请的实施方案,在如图1所示的步骤S1004触发疑似软件样本执行可疑行为之后,还可进一步判断可疑行为是否是采用加密通信协议的通信行为,或是否是发送加密数据的通信行为。若是,则在执行该可疑行为之前,记录待发送数据的明文信息。可以理解,若疑似软件样本执行的可疑行为是采用加密通信协议(如https等)的通信行为,或是发送加密数据的通信行为,例如,对敏感数据信息加密后发送,则会增加分析可疑行为的难度,导致准确率下降。根据本申请的该实施方案,可在执行上述加密通信行为之前,记录待发送的数据的明文信息,例如,可插入相关监测代码模块。这样,可结合所记录的待发送数据的明文信息,进行可疑行为的分析,从而可提高分析的准确率。图2示出了根据本申请另一实施方案的移动终端恶意软件的分析方法。如图2所示,首先在步骤S2002中,在移动终端中运行疑似软件样本,并疑似软件样本执行的可疑行为。然后,在步骤S2004中,判断可疑行为是否本文档来自技高网...
【技术保护点】
移动终端恶意软件的分析方法,包括:解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;在移动终端中运行所述疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;以及根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。
【技术特征摘要】
1.动终端恶意软件的分析方法,包括: 解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件; 在移动终端中运行所述疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;以及 根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。2.按权利要求1所述的方法,所述触发条件包括:运行所述疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信。3.按权利要求1所述的方法,其中,在触发所述疑似软件样本执行可疑行为之后,所述方法进一步包括:若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则在执行所述可疑行为之前,记录待发送数据的明文信息。4.动终端恶意软件的分析方法,包括: 在移动终端中运行疑似软件样本,记录所述疑似软件样本执行的可疑行为; 若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则在执行所述可疑行为之前,记录待发送数据的明文信息;以及 根据所记录的可疑行为和明文信息,判断所述疑似软件样本是否为恶意软件。5.按权利要求4所述的方法,进一步包括:解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件, 其中,在移动终端运行所述疑似软件样本期间,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为。6.按权利要求5所述的方法,所述触发条件包括:运行所述疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信。7.动终端恶意软件的分析装置,包括: 解析模块,解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件; 触发模块,在移...
【专利技术属性】
技术研发人员:彭华熹,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。